一個安全人眼中的「十年雲安全戰爭」

大家好~我是 @史中，我的日常生活是開撩五湖四海的科技大牛，我會嘗試各種姿勢，把他們的無邊腦洞和溫情故事講給你聽。如果你特別想聽到誰的故事，不妨加微信（微信號：shizhongst）告訴我，反正我也不一定撩得到。

不想走丟的話，你也可以關注我的自媒體公眾號「淺黑科技」。

-------正文分割線-------

一個安全人眼中的「十年雲安全戰爭」

文 |史中

我覺得，能體現人類最高級文明的生活方式 ，就是「宅」。

你想想，一個人整月都不出門，卻能從門口取回天下美食，取回衣帽鞋襪；能從手上的屏幕學習國際大事，閱盡島國女神，不會落後其他人哪怕一秒。這簡直是時代的勝利。。。

外賣、資訊、聊天，這些我們每天都用到的黑科技就像一座摩天大樓，身下的地基只有一個：計算。如果在計算前加一個限定，那就是雲計算。

講真，在今天這個時間點，雲計算要是涼了，什麼衣食住行肯定全都掛了。所以，現在有很多安全企業的飯碗就是：「拱衛雲計算的安全」。

不久前，我遇到了亞信安全的通用安全產品中心總經理童寧。我發現，對於中國雲安全的歷史故事，他是一位很合適的講述者。

說他適合講這段故事，有兩個原因：

1、活久見。亞信安全的前身趨勢科技中國，自稱是全球最早定義「雲安全」的廠商，在這個池子里已經遊了十年。（要知道雲計算本身也才有十二年歷史。）

2、兩種視角。2015年亞信科技收購了趨勢科技中國，成立了亞信安全。童寧也隨之進行了身份轉變。

這就讓他們能從內外兩個角度描述雲安全的「中國往事」。

一、2008-2015：算力就像中國的人口，不斷向大城市聚集

過去十年，有一個有趣的現象：我們身邊的算力在迅速而且不可逆地聚集。就像最近半個世紀，我們身邊的有志青年逐漸向北上廣深聚集一樣。

百川歸海，最終形成了今天的「雲計算」形態。

童寧回憶往事，把十年歷史分為三個階段。

1、虛擬化：計算的鄉村

在十年前的 2008年，計算的「上古時期」，單純的寶寶們相信一是一、二是二：一台計算機，運行一套系統，提供一套服務。天經地義。

但是，腦洞爆表的人類發現了一個更酷的玩法：計算機的本質是計算力，而計算力怎麼能受物理機箱的限制呢？我可以用代碼的形式，強行把一台計算機分割成虛擬的兩台計算機，讓他們分別運行不同的任務。

這種切分機器的方法就是如今大名鼎鼎的「虛擬化」。大名鼎鼎的 VMware公司就是虛擬化的始祖，至今還有很多企業在使用 VMware的虛擬系統。

就這樣，一發不可收拾，計算力被繼續分割。以至於一台伺服器拖動60-80個桌面，執行60-80套任務，這些都是日常操作，不用扣6的。

好的，現在問題來了：

一台機器分出了幾十號虛擬主機，那麼是否每個虛擬主機都要安裝殺毒軟體呢？

這其實是個挺有趣的問題。

想像一幢大樓，原本屬於一家公司，門口站著一位保安。但是後來老闆把大樓分成了60間辦公室，租給了60家公司。那麼每家小公司都需要自己重新配備一個保安嗎？

講真，一般的辦公樓里並不是每個公司門口都有保安。所以當時趨勢科技覺得，在每一個虛擬機里安裝殺軟也沒有必要。於是他們仗著對自己的技術水平還可以，和 VMware合作開發出一個「通用保安」，用一個人來保衛60個公司。這就是他們津津樂道的「無代理」安全技術。

說起來，這就是雲安全的最初形態之一了。

注意，這個時候藉助虛擬化技術，幾十組相互獨立的算力，已經能夠彙集到一台物理機上了。幾十個用戶，就像一個村莊一般組織在伺服器里，相互獨立又分享資源。我們剛才提到的算力集中化的浩蕩歷史，自此拉開了帷幕。

2、資源池：計算的城鎮

2013年以後，虛擬化已經成為了家常便飯。VMware成為了炙手可熱的牛X公司，趨勢科技也借著自己虛擬化安全的能力，賺得盆滿缽滿。

但與此同時，各行各業都明顯發現，自己需要的算力比想像中更驚人。中國互聯網像脫韁的野狗一樣往前沖，政府、銀行、券商、運營商、國企、私企業務爆棚，都要擴充自己的算力。於是他們開始大量購買伺服器，買伺服器就要花錢，如此循環往複，購買、管理、運營的成本暴增。

於是，本來就負責管理全國網路的三大運營商看到了商機，在他們的主導下出現了幾大數據中心，用幾千台伺服器做成一個資源池，租給用戶或者賣給用戶。

注意，這種局面形成，客觀上讓算力更進一步集中了。如同一個城鎮有上萬人，資源池裡往往也匯聚了上萬組獨立的算力。

這時就出現了新的安全需求。租戶的業務五花八門，「資源池」沒辦法具體地照顧到每一個租戶的安全。所以他們想到了一個一勞永逸的辦法：定製統一的安全系統，分配給各個租戶，讓他們自己來管理自己的安全。

看過電影《看上去很美》么，

當小朋友只有幾個的時候，老師可以幫他們一個個擦屁股。但是當一個班有幾萬個小朋友的時候，老師就必須得讓每個小朋友自己學會擦屁股。

這時，像趨勢科技這樣的安全企業，主要提供的就是各個租戶可以自己使用的「安全系統」。

3、公有云：計算的超大城市

雲的概念，雖然早在2006年就被谷歌和亞馬遜提出，但是直到2015年，中國人才真正接受了「雲作為計算力的基石」這個形態。

雲計算的核心技術在於大規模的計算力調度。這種調度技術的不斷完善，直接導致了兩個結果：

1、雲上算力進一步集中

2、計算的單位成本進一步越低。

雲上的算力已經到了非常集中的狀態，以中國最大的公有雲阿里云為例，上百萬租戶同時在一朵雲上既獨立工作，又分享資源。就像北上廣深這樣的超大規模城市一樣，公有雲同樣是超大規模的人類組織模式。這堪稱人類社會的奇觀，你體會一下。

至此，無論是國計民生的政務系統，還是吃喝玩樂的互聯網服務，都在以史詩般的速度向雲上遷移。以此為基礎，各種公有雲的變種：「行業雲」「政務雲」也開始出現。

你看，在生活中，女孩越是依賴男友，就越怕他出軌。雲也一樣，越是依賴雲，雲上的租戶就越需要雲的安全。這時便出現了我們現在公認「雲安全」的標準形態：

雲本身的安全+雲上租戶的系統安全

後來的發展證明，雲本身的安全更多地被阿里雲、騰訊雲這樣的雲計算服務商包攬，而雲上租戶的安全，就由安全企業提供。

直到這裡，我們都在以雲安全服務商的低視角來觀察整個雲計算的歷史。接下來，中哥帶你飛，我們試著像飛鳥一樣，盤旋在祖國上空來繼續我們的觀察。

從天空俯瞰，一場更為浩蕩的變革即將來臨。

二、2015-2017：中國網路安全的「天局」

2015，堪稱我心中的中國網路安全元年。

在那一年，啟明星辰的股價從14最高漲到了58，綠盟的股價從10最高漲到了49。

在那一年，360宣布從納斯達克退市的計劃，邁出了「回家」的第一步。

與此同時，提前兩年已經從美股退市的亞信科技，平地驚雷地收購了頂尖網路安全企業——趨勢科技中國。

從天空俯瞰，似乎有一張碩大的棋盤。每個網路安全企業都像一枚棋子。直到它們在接下來的幾年裡，組成了一個凌厲的攻勢，我們才恍然大悟，這是一場中國在下的大棋。

所謂「沒有網路安全，就沒有國家安全」。對於中國來說，除了晶元、軟體、電子器件這類「核高基」之外，網路安全的能力同樣像核武器一樣重要。簡單來說就是：

關鍵的網路安全能力，一定要由中國人自己來控制。

如此，我們再把鏡頭推回到2015年的亞信安全和趨勢科技中國，就能體會到更多鮮活的情緒。

當時，轟轟烈烈的網路安全國產化替代浪潮剛剛掀起。凡是外資背景的安全企業，都開始受到准入門檻的限制。

當時，趨勢科技果斷放手如日中天的趨勢科技中國，可謂是一個非常明智的選擇。它敏銳地地預料到，外資背景的安全企業在中國的市場空間會迅速收窄。這個過程不可逆。因為，從未來20年的國家戰略考慮，中國已經橫下一條心，要把「對所有人 Say No」的權利緊緊攥在手裡。

如果說網路安全是一個木桶，那麼對於彼時的中國來說，「國產雲安全技術」這一塊木板可謂是非常短。即使是啟明、綠盟這樣的龍頭企業，也沒有太多經驗。但是站在2015年，行業的精英都看得很清楚，雲計算註定會成為整個國家算力的基礎。中國雲安全技術的強弱，用生死攸關來形容一點都不為過。。

「眾里尋他千百度，「趨勢」卻在燈火闌珊處。」趨勢科技彼時已經積累了七年的雲安全技術。最終的結局是，亞信得償所願布局安全領域，頂尖的雲安全技術完整保留在了亞信安全中。

三、2018，雲安全關鍵的幾步棋

如當年的雲計算先驅所料，如今雲安全已經成為柴米油鹽水電煤氣一樣的生活必需品。阿里雲一騎絕塵，已經開始布局國際市場；各路大企業，也紛紛建立自己的行業雲。

於是我得出兩個結論：

1、中國的雲計算，已經在世界上處於第一陣營。

2、中國的雲安全，正在棋盤上落下事關全局的最關鍵的那幾個子。

那麼，問題來了：

從戰略角度看，中國需要怎樣的雲安全呢？

我覺得一般人會忽略的有兩點：

1、代碼自主可控。

安全很特殊。如果你是一個將軍，那麼你很可能會選自己的同鄉或親人來做你的警衛員。這說明，保護自己的人，一定要是自己信任的人。

對雲計算來說同樣如此。尤其是保護政務、銀行等國家基礎設施的任務，必須由百分百的中國公司完成。「你說什麼不要緊，先掏出來身份證來做個政審」，這就是自主可控的核心奧義。

2、穩定。

政務、金融等等重要的基礎設施，最需要保證的就是穩定。一旦停止運行，可能會危機整個國民生產。而如果你的安全產品不僅沒有保證安全，還直接把系統都拖累得掛掉了，這就是標準的豬隊友。

其實不僅是雲上的系統，所有系統的根本要求都是三個：穩定、穩定，還是穩定。「業務從來不會為安全讓步」，這是一條顛撲不破的真理。

從童寧的角度看，亞信安全之所以這些年發展得不錯，恰恰因為做對了這兩件事：亞信安全保持了百分之百中國供應商的身份；而因為雲安全起步早，當競爭對手還在打磨穩定性的時候，他們已經經歷了摸爬滾打，把穩定性保持在優秀的標準線上。

當然，我覺得能在如今的雲安全市場上砍下重大份額的安全廠商，產品都具備這兩項特質。

3、硬實力。

當然，在滿足前兩點的情況下，解決問題的效果當然是最重要的。

童寧告訴我，根據他的經驗，企業或者政府把系統放到雲上，主要就面臨兩個問題：

已知威脅；

未知威脅。

1）面對已知威脅，最要緊的是「速度」。

這裡，有一個黑客進攻的「標準模型」。

黑客研究出一個漏洞，把它放到黑市中出售；

下一級黑客買到這個漏洞，然後開發出一套攻擊工具，繼續放到黑市中出售；

下一級黑客買到這個工具，直接買來，用在已經「踩點兒」已久的公司上，直接入侵拿到數據。

從頭到尾，幾個流程下來，所需要的時間往往只有幾小時，最長也不超過一天。

在這個過程中，理論上企業和黑客是在同一起跑線上。一個漏洞被爆出，就相當於「寶藏」藏身之處大白於天下，壞人可以去找，好人同樣可以去拿。

只不過，黑客的進攻已經形成了一個巨大的產業鏈，可謂「紀律嚴明，井然有序」；而很多企業的防守陣型，顯得有點手忙腳亂。

舉個例子：

一個企業，在雲上搭建了各種系統，有時連自己都難以清點清楚。這時要想一個一個查詢，再找到需要打補丁的服務，一個一個打好，往往一周的事件已經過去了。

看過美劇《行屍走肉》或者電影《生化危機》的童鞋，都能想像，面對快速擴張的感染，最有效的方式就是「快」。快速逃離危險區，一旦上岸，之後就只剩下笑看風雲了。

2014年，震驚全球的心臟滴血漏洞，就像生化危機一樣，在短時間內席捲全球。

所以，怎麼才能用最快速度打好防護補丁呢？這顯然需要「自動化」能力。

1、在威脅沒來的時候，自動識別自己的系統資產；

2、在新威脅出現的時候，自動快速打好補丁；

3、因為某些具體原因沒辦法打補丁的情況下，要採用替代方法切斷攻擊路徑。（亞信安全的技術叫做「虛擬補丁」）

雖然有點三觀不正，但我還是想說：事實上，熊追你的時候，你只要跑得比最後一名快就行。。。

2）面臨未知威脅方面，最要緊的也是「速度」。

可以說天下武功，唯快不破。一個黑客入侵一套系統，有些步驟是不能省略的。

打個比方：

黑客進攻一個雲系統，很像進攻一個城池。他需要先放一個「間諜」進來，搞清楚糧草在哪，兵器在哪，城主又在哪。

從這個間諜潛伏在系統里開始，到實質性的進攻被發現，中間的一段時間叫做「自由攻擊時間」。

在自由攻擊時間裡，黑客每找到一份重要的信息，就會讓勝利的天平傾向於坏人一點兒。所以，縮短自由攻擊時間，讓它趨近於零，是至關重要的。

這種攻擊，考驗的就是在信息不完備的基礎上，實打實的分析能力。就像一個老刑警，確認一下眼神，就能知道對面的是不是小偷。

有時候，連老刑警都說不清楚是為什麼，但他就是有感覺。在安全技術中，這就用到了人工智慧技術。（之前中哥曾經寫過一篇文章，專門介紹了《用人工智慧的「阿法狗警犬」做安全檢測》，感興趣可以看一下。）

有一點需要強調，這種發現未知威脅的能力，就像高考語文卷的最後一道作文題，沒有絕對客觀的數據可以評價，也沒有一個「最好」的標準。

所以，在雲安全這條路上，所有人都是小學生，也總有人可以做得更好，誰也別驕傲。

四、未來：雲安全的「消失」

雖然已經到了2018年，但我覺得雲計算還沒有發展到它的最終形態。

打個比方：

現在的雲計算，有點像攢電腦。用戶買來底層雲計算服務之後，還要在上面自己安裝調試系統。你自己把系統搞崩潰了，跟攢電腦的商家沒關係；

未來的雲計算，應該像買手機。用戶買來的雲計算服務，上面集成了所有的系統和安全特性，用戶所需要的只是使用，一旦出問題只管找客服。

你可能明白我在說什麼了：未來的雲安全，應該是「潛在水面之下」的能力，根本不用用戶操心。

注意，問題來了。既然雲安全應該是雲計算的特性，那麼未來雲安全很可能被整合在底層雲計算服務商中，例如阿里雲，也許會直接把雲安全和雲上的安全統統做成一個完整的產品交付。

面對這樣的預期，反觀現在，第三方雲安全公司的生意也許正在一個山頂，接下來可能會遇到下坡路。可謂最好的時代，也是最壞的時代。雖然不知道這一天何時到來，但這是所有雲安全廠商的盛世危言。

不過童寧覺得，第三方安全廠商的任務還遠遠沒有完結，他們至少有兩條路可走

1）雲接入的安全。

無論雲上的安全做得多到位，在你接入雲的過程中，還是可能面臨風險。於是所謂的 CASB（Cloud access security brokers）這類接入雲過程中的安全，就會迎來市場的爆發。

2）源代碼安全。

如果把對付已知威脅的能力比作醫療，把對付未知威脅的能力比作免疫力，那麼源代碼安全就是基因工程。如果在開發系統的過程中，就寫進了很多漏洞，就像基因裡帶有缺陷一樣，後期如果要醫療，付出的代價是不可想像的。所以，源代碼的安全審計，同樣是未來的一個爆發的市場。

雖然童寧很驕傲地跟我介紹，亞信雲安全的解決方案已經進入77%的中國500強企業、70%的銀行、80%的券商，XXXXX，但是我覺得他比別人更清楚，爭奪市場本身並不是雲安全廠商的終極價值。而有朝一日，中國的雲成為世界上最安全的雲，才是這些為之奮鬥了十年，二十年，甚至三十年的從業者最大的榮光。

我們把目光收回到這局網路安全的對弈之上。

中國坐在棋盤一側，而另一邊的對手，我們無法選擇。

中國的網路安全從業者，看著「雲計算」這三個字從無到有，從模糊到清晰。最初很多人並沒有想到，自己從事的失業會和這個國家的命運息息相關。慶幸他們並未轉身離去，而是選擇挺身而出，成為了歷史的作者。

十年飲冰，難涼熱血。雲計算生生不息，他們功成身退的一天，或許永難到來。

但這，正是世界的動人之處。

再自我介紹一下吧。我叫史中，是一個傾心故事的科技記者。我的日常是和各路大神聊天。如果想和我做朋友，可以關注微博：@史中方槍槍，或者搜索微信：shizhongst。

不想走丟的話，你也可以關注我的自媒體公眾號「淺黑科技」。